به گزارش کارگروه امنیت سایبربان؛ کارشناسان کسپرسکی در گزارشی اعلام کردند شباهتهایی میان کدهای در پشتی سانبرست (Sunburst) و بدافزار کازوار (Kazuar) کشف کردهاند.
در پشتی کازوار نخستین بار در سال 2017 توسط کارشناسان شرکت پالوآلتونتورک شناساییشده و به گروه تورلا (Turla) نسبت دادهشده است. به گفته کارشناسان آزمایشگاه، بدافزار کازوار به همراه سایر ابزارهای گروه تورلا در حملات سالهای گذشته مورداستفاده قرارگرفته است.
نسخههای جدید در پشتی کازوار در ماه فوریه 2020 شناساییشده و بدافزار سانبرست نیز که مدام در حال ارتقاء است، در نوامبر 2020 شناساییشده است.
شرکت فایرآی عامل حمله به سولارویندز را گروه هکری ناشناس به نام «UNC2452» و بدافزار سانبرست معرفی کرده و شرکت Volexity نیز حملات را به «Dark Halo» نسبت داده است.
بنابرگزارش کسپرسکی، این احتمال دور از ذهن نیست که سازندگان سانبرست عمداً از کدهای مشابه کازوار بهره برده باشند تا تحلیلگران و سرویسهای اطلاعاتی را گمراه سازند.
مهاجمان در استفاده از بدافزار «OlympicDestroyer» نیز از پرچمهای دروغین استفاده کرده بودند و کسپرسکی پس از انجام تحقیقات درنهایت به گروه هکری زبده APT به نام «Hades» رسیده است.
کارشناسان مایکروسافت گروه فنسی بیر را متهم به حمله سایبری علیه سازمانهای ورزشی و مبارزه با دوپینگ کرده بودند. در سال 2018 فنسی بیر متهم به استفاده از بدافزار «OlympicDestroyer» علیه بازیهای المپیک زمستانی پیونگ چانگ شده بود.
به اعتقاد محققان کسپرسکی، حمله به زنجیره تأمین یکی از پیچیدهترین حملات بوده و طی سالهای گذشته از سوی گروههای مختلف هکری همچون APT41 انجامشده است.
کارشناسان آزمایشگاه احتمال میدهند علت شباهتهای میان کازوار و سانبرست موارد زیر باشند که در دست بررسی هستند:
- سانبرست توسط همان گروه توسعهدهنده کازوار توسعه داده شده است.
- توسعهدهندگان سانبرست برخی ایدهها و کدها را از کازوار بدون ارتباط مستقیم با آن اقتباس کرده و از کازوار بهعنوان یک منبع الهام استفاده کردهاند.
- هر دو گروه DarkHalo/UNC2452 و گروه استفادهکننده از کازوار، بدافزار خود را از یک منبع دریافت کردهاند.
- برخی از توسعهدهندگان کازوار با دریافت دانش و ابزارها به تیم دیگری وارد شدهاند.
- توسعهدهندگان سانبرست از این پیوندها بهعنوان شکلی از پرچم دروغین استفاده کردهاند تا گروه دیگری را مقصر معرفی کنند.
